방화벽 ( Firewall )

방화벽 ( Firewall ) : 네트워크 트래픽을 모니터링하고 정해진 보안규칙을 기반으로 특정 트래픽의 허용 또는 차단을 결정하는 네트워크 보안 디바이스

< 네트워크의 계층에 따른 방화벽의 분류 >

1> 패킷 필터링 방화벽 ( Packet Filtering Firewall )    1세대 방화벽 ( 3계층 )

사설네트워크와 인터넷 사이에 존재하여 특정 트래픽을 허용하거나 차단하며 가장 단순한 최초의 방화벽 중 하나이다

발진지 주소와 포트를 검사하여 수신 측의 주소와 포트에 대한 접속 허용여부를 결정한다

[ 패킷 필터링 방화벽 ]

2> 프록시 방화벽 ( Proxy Firewall )    2세대 방화벽 ( 7계층 )

클라이언트와 외부 네트워크와의 중개인의 역할을 하며 이상이 없는 패킷만을 목적지로 전달하는 방화벽

캐시기능 - 방화벽 구성 시 속도나 성능이 저하됨을 막는다

장점

패킷 필터링보다 더 높은 수준의 보호 능력을 제공한다

패킷 정보를 Application 계층까지 전체적으로 조사한다

[ 프록시 서버 ]

2-1> 응용 수준 방화벽 시스템 ( Application Gateway )

OSI 7계층 의 어플리케이션 계층에서 동작하고 각각의 서비스별로 Proxy데몬이 존재한다

외부에 대한 내부 망의 완벽한 경계선 방어 및 내부의 IP주소를 숨기는 것이 가능하고, 데이터 부분의 제어에 따른 높은 로깅기능과 감사가 가능하다

2-2> 회로 수준 방화벽 시스템 ( Circuit Gateway )

OSI 7계층의 세션과 어플리케이션 계층 사이에서 동작하고 서비스별 전용 데몬이 존재하지 않고 모두 이용 가능한 일반적인 Proxy가 존재한다

( Proxy : 클라이언트와 서버간에 안전한 채널 )

3> 상태 기반 조사 방식 ( Stateful Inspection )    3세대 방화벽 ( 3 ~ 7 )

패킷 필터링 방식과 Application Gateway 방식의 장점을 혹한합 3세대 방화벽 기술

패킷으로부터 받은 정보와 전송상태, 연결상태, 다른 application들과의 관계 그리고 패킷의 Top5계층을 면밀하게 검사한다

연결의 시작부터 끝날 때까지의 모든 활동을 모니터링 하여 관리자가 정한 규칙 외에 상황정보를 기반으로 필터링한다

장점

모든 통신 레이어에서 분석하므로 모든 채널에 대해 추적이 가능하고 높은 수준의 보안을 제공하며 확장성이 뛰어나다

사용자에게 투명성을 제공하고 UDP와 RPC패킷도 추적이 가능하다

[ Stateful inspection ]

< 시스템 구성방식에 따른 방화벽의 분류 >

1> 스크리닝 라우터 ( Screening Router ) ( = 단일 패킷 필터링 방식 )

외부 네트워크와 내부 네트워크의 경계에 위치하여 일반 라우터에 패킷 필터링 규칙을 적용시켜 방화벽 역할을 수행한다

라우터에서는 단순한 필터링 기능만을 제공하므로 완벽한 방화벽의 역할을 기대하기는 어렵다

[ Screening Router ]

2> 단일 홈 게이트웨이 ( Single-homed Gateway )

일반적으로 이 구조를 배스천 호스트 ( Bastion Host )라고 부르며 관리자는 정기적으로 감시 및 점검을 하여야 한다

접근 제어, 프록시, 인증, 로깅 등 방화벽의 가장 기본적인 기능을 수행한다

처리 속도가 빠르고 구축비용이 저렴하지만 세부적인 필터링 정책설정이 어렵다

* 배스천 호스트

보호된 네트워크에서 유일하게 외부에 노출되는 내,외부 네트워크를 연결한다 ( 주로 방화벽의 메인 서버를 의미 )

내부 네트워크로 접속하려면 Bastion Host를 통과하여야하며, 내부 네트워크를 향한 공격을 방어한다

[ Single-homes Gateway ]

3> 이중 홈 게이트웨이 ( Dual-homed Gateway )

두 개의 네트워크 인터페이스를 가진 Bastion Host를 말한다. 베스천호스트가 프록시 서버를 이용하여 패킷 필터링과 서비스 연결 및 관리 기능을 수행하여 내부 네트워크를 보호하는 구성 방식

하나의 네트워크 인터페이스는 외부 네트워크와 연결되고 다른 하나는 내부 네트워크에 연결되고 양 네트워크 간의 직접적인 접근은 허용되지 않는다

정보 지향적인 공격을 방어할 수 있고, 각종 기록 정보를 생성 및 관리하기 쉽고 설치 및 유지보수가 쉽다

하지만, 제공되는 서비스가 증가할 수록 프록시 소프트웨어 가격이 상승한다

[ Dual-homed Gateway ]

4> 스크린드 호스트 게이트웨이 ( Screened Host Gateway )    듀얼 홈 게이트웨이 + 스크리닝 라우터

외부에서 들어오는 패킷 트래픽을 스크리닝 라우터에서 패킷 필터 규칙에 의해 1차로 방어하고 Bastion Host에서 2차로 필터한다

스크리닝 라우터의 라우팅 테이블이 변경되어 Bastion Host로 입력이 되지 않고 곧바로 내부 네트워크로 진입할 수 있는 위험이 있다

=> 스크리닝 라우터에서는 정적 라우팅 테이블을 사용하는 것이 안전하다

네트워크 계층과 응용 계층에서 방어하므로 매우 안전하며 가장 많이 이용되는 방화벽 시스템이다

하지만 스크리닝 라우터의 라우팅 테이블이 변경되면 이를 방어할 수 없고 방화벽 시스템 구축비용이 많이든다

구조 : [ 내부 네트워크 ] - [ Bastion Host ] - [ Screening Router ] - [ 외부 인터넷 ]

[ Screened Host Gateway ]

5> 스크린드 서브넷 게이트웨이( Screened Subnet Gateway )    스크린드 호스트 게이트웨이 + 듀얼 홈드 게이트웨이

구조 : [ 내부 네트워크 ] - [ Router ] - [ Bastion Host ] - [ Router ] - [ 외부 네트워크 ( 인터넷 ) ]

[ Screened Subnet ]

외부에서 들어오는 패킷을 라우터에서 한번 필터링 되고 배스천호스트에서 검증한 후 다시 라우터에서 필터링 되어 내부네트워크로 들어간다

강력한 보완성을 제공하고 융통성이 뛰어나지만 서비스 속도가 느리고 구축비용이 많이든다